Lamerok
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ниже приведена пошаговая инструкция как установить ISA + Exchange 2003 на одном сервере + настройка публикации OWA ( Outlook Web Access)
Лабораторная работа проводилась на 2003-й платформе. Про работу exch 2000 ничего сказать не могу.
Требования для лабораторной работы
Наличие двух серверов со следующим установленным софтом:
1) Сервер № 1: назовем его dc1.domain.ru. на нем установлен w2k3 Active Directory + Exchange 2003 Standart Edition. Имеем один сетевой интерфейс 192.168.1.1
2)Сервер №2 назовем его isa1.domain.ru. Установлен w2k3 + Exchange 2003 Standart Edition + ISA Server 2000 SP1, FP1. Имеем два сетевых интерфейса 192.168.1.2 (локальный) и 195.195.195.100.200 ( внешний интерфес ISA)
Цель лабораторной работы
1) чтобы все пользователи домена могли получать и отправлять почту Интернет.
2) доступ к почтовому ящику Exchange вне пределах офиса
3) безопасность подключения к Интернет.
Шаг №1 КОНФИГУРАЦИЯ EXCHANGE на isa1.domain.ru
a) Заходим в System Manager. Открываем закладку Servers. Выпадает список из двух серверов: dc1 и isa1. Выбираем isa1 Protocols - SMTP - Default SMTP Virtual Server - Properties - Access - Relay. Далее добавляем ip адрес с которого можно проводить relay. Вводим 192.168.1.1
b) в System Manager открываем свойства сервера ISA1. В закладке General устанавливаем галку "This is a front-end server" Это означает что Exchange на isa1 будет фактически SMTP релеем, Information Store будет хранитьсся на сервере dc1.domain.ru
с) в System Manager открываем свойства сервера ISA1. В закладке Delivery - Advanced - Configure External DNS Server вписываем ip адреса DNS серверов кот. дал провайдер.
На этом конфигурация Exchange на isa1 завершена.
Шаг №2 КОНФИГУРАЦИЯ EXCHANGE на dc1 .domain.ru
a) Заходим в System Manager. Открываем закладку Servers. Выпадает список из двух серверов: dc1 и isa1. Выбираем dc1 Protocols - SMTP - Default SMTP Virtual Server - Properties - Access - Relay. Далее добавляем ip адрес с которого можно проводить relay. Вводим 192.168.1.1.
b) В закладке Delivery - Advanced - Smart Host - вписываем [192.168.1.2] Это означает что всЮ почту dc1 будет пересылать на смарт хост , т.е на exch isa.
На этом конфигурация Exchange на dc1 завершена.
ШАГ №3 НАСТРОЙКА IP packet Filtering в ISA для работы сервиса SMTP
Для того чтобы SMTP на isa работал нормально, т.е , принимал и отправлял почту необходимо создать два правила:
1. smtp inbound ( local port: fixed 25, remote port: all)
2. smtp outbound ( local port : dynamic remote port fixed 25)
Делаем restart сервисов ISA и можно проверять работу почты.
ВНИМАНИЕ !!! Использование технологии Back-end Front -end позволяет избавиться от публикации smtp сервиса локального сервера dc1.domain.ru, что повышает безопасность системы.
Подробнее об этой технологии можно прочитать тут http://www.microsoft.com/downloads/details.aspx?FamilyID=afad8426-572e-40f8-99da-eb7198f374c4&displaylang=en
ШАГ № 4 НАСТРОЙКА IIS для работы с Outlook WEB Access
1. Первым делом необходимо установить Certification Authorty на dc1.domain.ru
Заходим в add or remove programs - add windows components - выбираем Certificate Server.
2. После того как CA установлен необходимо сгенерить сертификат для web site на котором находится OWA:
заходим в IIS на сервере dc1. domain.ru Default Web Site - Properties - Directory Security - Server Certificate - create a new certificate - send a request immeadiately... в Закладке Name and Seurity набираем www.mail.domain.ru ( это та ссылка по которой клиенты из вне будут заходить в OWA) во внешнем DNS domain.ru желательно прописать запись
типа (A) которая будет ссылаться на mail.domain.ru.
Далее... в IIS - Default Web Site - Exchange - Directory Security - Edit - ставим галку Require Secure Chanel ( SSL) Ставим галку require 128 bit encryption
В Autentification and access control убираем anonimous access , оставляем только basic аутентификацию.
Тоже самое проделываем с ExchWeb и Public
3. Перенос сертификатов с dc1.domain.ru на isa1.domain.ru
Для того чтобы заработал SSL необходимо произвести export сгенерированного сертификата с одного сервера на другой. Это можно сделать с помощью mmc - Certificates. Подробности расписывать не буду - операция банальная. с dc1 - export на isa1 провести импорт.
ШАГ №5 НАСТРОЙКА ISA для работы с SSL
1. В свойствах сервсера isa1 в консоли ISA - Properties.
a) Incoming Web Request
Configure listerns individualy rep ip address ставим галку "use a server certificate..." выбираем сгенерированный сертификат.
тип аутентификации Basic - выбираем домен - domain.ru оставляем Windows Integrated аутентификациюю Ставим галку enable ssl listerns и ask autentificated users...
b) Outgoing Web Request
Интегрированная утентификация для всех пользователей.
c) правим файлик hosts . Вписываем туда 192.168.1.1 mail.domain.ru
ШАГ №6 НАСТРОЙКА ПУБЛИКАЦИИ OWA
1. Создаем Destination Set . Называем его OWA
вписываем туда path /exchweb*/exchange* /public*
в destination везде пишем mail.domain.ru
2. Создаем Web Publishing Rule. Используя Destination Set OWA. в закладке action пишем Redirect the requiest tio internal web server пишем mail.domain.ru
Ставим галку "send original host header...."
В закладке Bridging HTTP request as HTTP , SSL as SSL Ставим галку Require SSL 128 bit
НУ вот вроде бы и все.... Рестартуем сервисы и проверяем с внешнего ip обратиться по линку https://mail.domain.ru/exchange. Еcли нет траблов с DNS все должно работать как из пушки.
БЕЗОПАСНОСТЬ
Данная схема подключения обеспечивает работу двух сервисов: SMTP и OWA (по SSL)
При сканировании isa server из вне, наружу торчат только два порта !!!
p.s. я настроил еще маппинг сертификатов. Раздал юзерам и прописал в IIS кто может ходить на OWA а кто нет.
p.p.s. более подробная инфа по публикации OWA http://www.isaserver.org/tutorials/pubowa2003toc.html
Надеюсь что ничего не забыл.
Good Luck & Good Frag's 
если что пишите
|
Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 20:15 08-12-2003 | Исправлено: Lamerok, 17:19 09-12-2003 |
|
